全国网络安全行业职业技能大赛(网络安全管理员)考试题及答案

全国网络安全行业职业技能大赛(网络安全管理员)考试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填入括号内）1.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务，可能影响国家安全的，应当通过（）。A.工信部备案B.国家网信部门安全审查C.公安部等保测评D.市场监管总局认证答案：B2.在SSL/TLS握手过程中，用于协商对称加密算法的报文是（）。A.ClientHelloB.ServerHelloC.CertificateD.ServerKeyExchange答案：B3.下列哪项不是入侵检测系统（IDS）的普遍缺陷（）。A.误报率高B.无法处理加密流量C.对零日攻击无能为力D.会主动丢弃攻击数据包答案：D4.关于Windows日志EventID4624，下列描述正确的是（）。A.账户登录失败B.账户成功登录C.权限提升成功D.对象访问被拒绝答案：B5.在Linux系统中，若文件权限为“rwsrxrx”，则其中“s”标志的含义是（）。A.SetGIDB.SetUIDC.StickyBitD.强制位答案：B6.使用nmap扫描命令“nmapsSp165535/24”时，“sS”表示（）。A.TCPConnect扫描B.SYN半开扫描C.UDP扫描D.ACK扫描答案：B7.以下哪类恶意代码主要利用Office宏进行传播（）。A.引导扇区病毒B.宏病毒C.文件感染型病毒D.伙伴病毒答案：B8.在公钥基础设施（PKI）中，负责发布证书撤销列表（CRL）的实体是（）。A.RAB.VAC.CAD.OCSP答案：C9.依据《个人信息保护法》，处理敏感个人信息应当取得个人的（）。A.默示同意B.书面同意C.单独同意D.推定同意答案：C10.关于IPv6地址2001:0db8:0000:0000:0200:00ff:fe00:0001，其压缩表示为（）。A.2001:db8::200:ff:fe00:1B.2001:db8:0:0:200:ff:fe00:1C.2001:db8::0200:00ff:fe00:0001D.2001:db8::200:ff:fe00:1答案：A11.在OWASPTop102021中，排名首位的安全风险是（）。A.注入B.失效的访问控制C.加密失败D.不安全的设计答案：B12.关于防火墙双机热备，下列协议用于实现主备状态协商的是（）。A.VRRPB.HSRPC.GLBPD.CARP答案：A13.使用tcpdump抓取本机除22端口外的所有TCP数据包，正确命令是（）。A.tcpdumpianytcpport!22B.tcpdumpieth0notport22C.tcpdumpianynottcpport22D.tcpdumpianytcpandnotport22答案：D14.在Android应用逆向中，查看Java层代码最常用的静态分析工具是（）。A.IDAProB.jadxC.OllyDbgD.Frida答案：B15.关于勒索软件防御，下列措施无效的是（）。A.定期离线备份B.部署应用程序白名单C.关闭所有系统更新D.启用邮件内容过滤答案：C16.在SQL注入中，若数据库为MySQL，利用“unionselect”获取当前用户名的函数是（）。A.user()B.current_user()C.session_user()D.system_user()答案：A17.关于零信任架构，下列描述错误的是（）。A.默认信任内网流量B.强调持续验证C.最小权限访问D.以身份为中心答案：A18.在Wireshark中，过滤显示所有HTTP状态码为404的响应包，表达式为（）。A.http.response.code==404B.http.status==404C.tcp.port==404D.ip.addr==404答案：A19.下列哪项不属于社会工程学攻击（）。A.鱼叉式钓鱼B.假冒客服电话C.漏洞利用工具包D.尾随进入机房答案：C20.在Windows系统中，用于查看当前登录用户SID的命令是（）。A.whoami/userB.netuser%username%C.queryuserD.netstatan答案：A21.关于国密算法，SM2主要用于（）。A.杂凑B.对称加密C.非对称加密D.消息认证答案：C22.在Linux系统中，若需限制用户最多同时打开1024个文件，应修改配置文件（）。A./etc/security/limits.confB./etc/profileC./etc/fstabD./etc/crontab答案：A23.关于Web应用防火墙（WAF）的透明代理模式，下列说法正确的是（）。A.需要修改DNS解析B.客户端无感知C.必须变更服务器IPD.无法做SSL卸载答案：B24.在渗透测试中，用于快速识别子域名的开源工具是（）。A.sqlmapB.sublist3rC.hydraD.mimikatz答案：B25.关于日志留存，按照《网络安全法》要求，网络日志至少保存（）。A.1个月B.3个月C.6个月D.12个月答案：C26.在IPv4首部中，用于数据包分片的字段是（）。A.TTLB.ProtocolC.FlagsD.FragmentOffset答案：D27.关于Docker安全，下列做法正确的是（）。A.容器内应用均以root运行B.关闭宿主机cgroupC.启用UserNamespace隔离D.将Docker守护进程监听在:2375无认证答案：C28.在Metasploit中，用于设置攻击载荷的命令是（）。A.setpayloadB.usepayloadC.selectpayloadD.choosepayload答案：A29.关于BGP劫持，下列防御技术最常用的是（）。A.RPKIB.DNSSECC.DMARCD.SPF答案：A30.在密码学中，DiffieHellman算法主要用于（）。A.数字签名B.密钥交换C.数据加密D.消息认证答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项的字母填入括号内，漏选、错选均不得分）31.以下哪些属于常见的WebShell连接工具（）。A.中国菜刀B.蚁剑C.冰蝎D.CobaltStrike答案：A、B、C32.关于Linux系统加固，下列措施合理的有（）。A.禁用不必要服务B.设置GRUB密码C.关闭SELinuxD.启用auditd审计答案：A、B、D33.以下哪些协议可被用于DNS隧道传输（）。A.MXB.TXTC.CNAMED.AAAA答案：B、C、D34.关于内存保护机制，下列哪些技术可有效缓解缓冲区溢出（）。A.DEPB.ASLRC.SEHOPD.PIE答案：A、B、C、D35.在Windows域环境中，可用于获取域内主机信息的命令有（）。A.netviewB.nltest/domain_trustsC.dsquerycomputerD.tasklist答案：A、B、C36.以下哪些属于对称加密算法（）。A.AESB.SM4C.3DESD.RSA答案：A、B、C37.关于漏洞扫描器NESSUS，下列说法正确的有（）。A.支持本地与远程扫描B.可输出合规报告C.可扫描Web漏洞D.完全开源免费答案：A、B、C38.以下哪些行为可能触发主机入侵检测系统（HIDS）告警（）。A./etc/passwd被非特权用户修改B.新建隐藏进程C.内核模块加载D.正常用户登录答案：A、B、C39.关于云安全，以下哪些属于CSPM（云安全态势管理）核心功能（）。A.配置核查B.合规评估C.威胁检测D.数据备份答案：A、B、C40.在移动应用安全测试中，以下哪些工具可用于动态分析（）。A.FridaB.XposedC.MobSFD.Objection答案：A、B、D三、填空题（每空1分，共20分）41.在Linux系统中，用于查看当前系统监听端口的命令是________。答案：netstattulnp42.在MySQL中，利用load_file函数读取/etc/passwd时，需开启全局________参数。答案：secure_file_priv43.在Windows日志中，EventID4768表示________票据请求。答案：KerberosTGT44.在密码学中，HMAC算法可提供完整性和________验证。答案：数据源身份45.在OWASPMSTG中，移动应用安全测试指南将测试分为________大类。答案：八46.在IPv4中，首部最小长度为________字节。答案：2047.在渗透测试中，用于快速识别网站后台的目录爆破工具________，其默认字典包含common.txt。答案：dirb48.在公钥证书中，若KeyUsage扩展仅包含digitalSignature，则该证书不能用于________加密。答案：密钥49.在Linux系统中，若需禁止用户使用crontab，应将用户名写入文件________。答案：/etc/cron.deny50.在Windows系统中，用于清除Kerberos票据缓存的命令是________。答案：klistpurge51.在SQL注入中，若过滤了空格，可使用________字符替代空格绕过。答案：//52.在BGP协议中，用于标识自治系统的号码范围是________位。答案：3253.在Dockerfile中，指定容器以非root用户运行的指令是________。答案：USER54.在无线安全中，WPA3个人模式采用________握手协议替代四次握手。答案：SAE55.在密码学中，SM3算法输出杂凑值长度为________位。答案：25656.在Linux系统中，用于强制用户下次登录时修改密码的命令是________。答案：chaged0用户名57.在Windows域中，将用户加入“________”组可获得本地管理员权限。答案：Administrators58.在Web安全中，CSP响应头用于缓解________攻击。答案：XSS59.在IPv6中，链路本地地址前缀为________。答案：fe80::/1060.在逆向工程中，用于查看ELF文件节区信息的命令是________。答案：readelfS四、简答题（每题10分，共30分）61.简述等保2.0中“安全区域边界”对网络访问控制的主要要求，并给出两种实现技术。答案：（1）主要要求：应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；应对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包进出；应删除多余或无效规则，优化访问控制列表，保证规则最小化；应定期审计访问控制策略有效性。（2）实现技术：1.下一代防火墙（NGFW）：基于五元组+应用识别+用户身份进行细粒度访问控制，支持IPS、AV联动；2.软件定义边界（SDP）：通过控制器动态下发访问控制策略，实现“先认证后连接”，隐藏真实IP，缩小暴露面。62.说明Kerberoasting攻击原理，并给出两种检测与两种缓解措施。答案：原理：攻击者获取域内任意用户凭据后，向域控请求目标服务账户（如MSSQL）的TGS票据，该票据使用服务账户NTLM哈希加密；攻击者离线暴力破解票据，得到服务账户明文密码。检测：1.监测大量TGS_REQ请求且服务类型为RC4加密（0x17），结合账户异常时间；2.通过SIEM关联EventID4769，过滤加密类型为0x17且票据大于0x5000字节。缓解：1.将服务账户密码设置为长度>25位随机复杂口令，定期轮换；2.强制使用AES256加密类型，关闭RC4HMAC。63.描述内存马（MemoryWebShell）特点，并给出Java环境下检测与清除思路。答案：特点：无磁盘文件、仅驻留JVM内存、利用Filter/Controller/Servlet动态注册、重启即消失、可绕过传统文件监控。检测：1.利用JavaAgent遍历所有Filter/Servlet，比对字节码MD5，发现未在web.xml定义的组件；2.通过JMX获取FilterChain，检查classloader路径是否来自内存或未知jar。清除：1.注入Agent卸载恶意Filter，调用StandardContext.removeFilterDef；2.重启应用或容器，彻底清空内存；3.结合WAF添加内存马流量特征（如特定header、参数）实时阻断。五、综合应用题（共50分）64.漏洞分析与会话安全加固（20分）某电商网站登录接口/api/login采用POSTJSON方式，参数为{"username":"admin","password":"123456","captcha":"abcd"}。经测试发现：（1）服务端未对密码字段进行次数限制；（2）登录失败返回{"code":401,"msg":"passworderror"}，且响应头SetCookie:JSESSIONID=XXX;Path=/;HttpOnly；（3）验证码有效期10分钟，可重复使用；（4）密码采用前端MD5后传输。请回答：a.指出存在的三类主要安全风险（6分）；b.给出针对每类风险的整改代码片段或配置（不涉及语言限制，伪代码即可）（9分）；c.说明如何验证整改有效性（5分）。答案：a.风险：1.暴力破解：无锁定、无递增延时；2.验证码复用：可重放；3.传输与存储：MD5弱哈希、未加盐、可被彩虹表破解。b.整改：1.增加登录失败计数与锁定：if(failCount>=5){thrownewLockedException("账户锁定15分钟");}else{failCount++;redis.setex("fail:"+username,900,failCount);}2.验证码一次性：if(!redis.exists("captcha:"+sessionId)){returnerror("验证码已使用");}redis.del("captcha:"+sessionId);3.密码安全：前端：使用HTTPS+RSA公钥加密随机key，AES加密传输；后端：BCrypt.hashpw(password,BCrypt.gensalt(12));c.验证：1.使用Hydra多线程爆破，观察>5次后返回“账户锁定”且HTTP423；2.同一验证码二次提交，返回401且提示“验证码失效”；3.抓取数据包，确认无MD5散列，而为随机AES密文；查看数据库用户表，password字段为60位BCrypt。65.网络流量溯源与取证（15分）安全设备告警：内网主机A（00）向外部IP的443端口发送大量数据，疑似外传。提供的pcap中，TLS握手后传输约300MB，SNI为，但证书SubjectCN=.。请回答：a.给出判断该流量为恶意隧道的两条依据（4分）；b.说明如何在Wireshark中提取该证书，并给出关键取证字段（4分）；c.若需分析加密内容，请描述利用SSLKEYLOGFILE的前提与步骤（4分）；d.若无法解密，给出两条替代溯源思路（3分）。答案：a.依据：1.SNI与证书CN不一致，合法CDN不应使用；2.流量大小异常，300MB远超正常JS/CSS资源。b.提取：Wireshark→Statistics→Conversations→TCP→找到:443流→Follow→SSL→右键ExportPacketBytes→保存为cert.der；取证字段：SerialNumber、Issuer、Subject、Validity、SubjectAlternativeName。c.前提与步骤：前提：客户端为Firefox/Chrome，且环境变量SSLKEYLOGFILE=/tmp/